Мамкин хацкер
Недавно я пользовался одним из отечественных аналогов Notion и захотел изменить поддомен своего пространства. Логично было предположить, что это можно сделать в настройках.
В интерфейсе действительно оказалось поле с текущим поддоменом, но оно было недоступно для редактирования. Я решил, что поддомен задаётся только при регистрации и изменить его нельзя.
НО меня почему-то попёрло посмотреть исходных код страницы. Моё внимание привлёк HTML-тег input. Там я увидел примерно следующее:
<input type="text" id="subdomain" autocomplete="off" minlength="4" maxlength="32" readonly="" value="pankovri">
Ключевым оказался атрибут readonly. Я удалил его прямо в DevTools, изменил значение поля и нажал "Сохранить".
И... это сработало. Поддомен изменился, причём даже настроен редирект со старого на новый.
Я не до конца понял, было ли это ограничение связано с платной версией или просто служило защитой от массового изменения поддоменов.
Вывод: проверка данных должна проводиться не только на стороне клиента, но и на стороне сервера.
